2009-06 MS 보안패치 내역

    6월 Microsoft 보안패치가 발표되었습니다.  이번엔 긴급이 정말 많습니다.  그동안 미루었던 서버들에 대한 보안패치도 이번달에는 하셔야할 듯합니다.  하나같이  원격코드를 실행할수있다고 하는 군요..  ㅠㅠ
               긴급  ▲ , 중요 △ ,보통 ▽ , 재시작 ◐
MS09-018    Active Directory 취약점으로 인한 원격 코드 실행 문제점 (971055) ▲ ◐

     보안 업데이트는 비공개적으로 보고된 취약점 2건을 해결합니다. 취약점은 Active Directory  ADAM(Active Directory Application Mode)에서 발견되었습니다. 가장 심각한 취약점은 서비스 거부 조건을 허용할 있습니다. 취약점을 악용한 공격자는 영향을 받는 시스템을 원격으로 완전히 제어할 있습니다. 이렇게 되면 공격자가 프로그램을 설치할 있을 아니라 데이터를 보거나 변경하거나 삭제할 있고 모든 사용자 권한이 있는 계정을 만들 수도 있습니다.
     
MS09-022   Windows 인쇄 스풀러 취약점으로 인한 원격 코드 실행 문제점 (961501)  ▲ ◐

   이 보안 업데이트는 Windows 인쇄 스풀러에서 이전에 비공개적으로 보고되었던 취약점 3건을 해결합니다. 가장 심각한 취약점은 영향을 받는 서버가 특수하게 조작된 RPC 요청을 받는 경우 원격 코드 실행을 허용할 있습니다. 

MS09-019    Internet Explorer 누적 보안 업데이트 (969897)  ▲ ◐

    보안 업데이트는 Internet Explorer 대해 비공개적으로 보고된 취약점 7건과 공개된 취약점 1건을 해결합니다. 가장 심각한 취약점은 사용자가 Internet Explorer 사용하여 특수하게 조작된 페이지를 경우 원격 코드 실행을 허용할 있습니다.

MS09-027    Microsoft Office Word 취약점으로 인한 원격 코드 실행 문제점 (969514) ▲ ◐

    보안 업데이트는 비공개적으로 보고된 취약점 2건을 해결합니다. 사용자가 특수하게 조작된 Word 파일을 열면 이러한 취약점을 통해 원격 코드 실행이 허용될 있습니다. 취약점 악용에 성공한 공격자는 영향을 받는 시스템을 완벽히 제어할 있습니다. 이렇게 되면 공격자가 프로그램을 설치할 있을 아니라 데이터를 보거나 변경하거나 삭제할 있고 모든 사용자 권한이 있는 계정을 만들 수도 있습니다.

MS09-021    Microsoft Office Excel의 취약점으로 인한 원격 코드 실행 문제점 (969462)  ▲ ◐

    보안 업데이트는 비공개적으로 보고된 취약점 2건을 해결합니다. 사용자가 특수하게 조작된 Word 파일을 열면 이러한 취약점을 통해 원격 코드 실행이 허용될 있습니다. 취약점 악용에 성공한 공격자는 영향을 받는 시스템을 완벽히 제어할 있습니다. 이렇게 되면 공격자가 프로그램을 설치할 있을 아니라 데이터를 보거나 변경하거나 삭제할 있고 모든 사용자 권한이 있는 계정을 만들 수도 있습니다.

MS09-024    Microsoft Works 변환기의 취약점으로 인한 원격 코드 실행 문제점 (957632)  ▲ ◐

    보안 업데이트는 비공개적으로 보고된 Microsoft Office 취약점을 해결합니다. 이러한 취약점으로 인해 사용자가 특수하게 조작된 Works 파일을 경우 원격 코드 실행이 허용될 있습니다. 취약점 악용에 성공한 공격자는 로컬 사용자와 동일한 권한을 얻을 있습니다

MS09-026    RPC의 취약점으로 인한 권한 상승 문제점 (970238)  △ ◐

    보안 업데이트는 RPC 마샬링 엔진이 내부 상태를 적절히 업데이트하지 않는 Windows RPC(원격 프로시저 호출) 기능의 공개된 취약점을 해결합니다. 취약점으로 인해 공격자는 영향 받은 시스템에서 임의 코드를 실행하고 시스템을 완전하게 제어할 있게 됩니다. 지원되는 Microsoft Windows 에디션에는 취약점이 악용될 영향을 받는 RPC 서버 또는 클라이언트가 포함되어 있지 않습니다. 기본 구성에서는 취약점의 악용되어도 사용자는 공격을 받지 않지만 Microsoft Windows RPC 런타임에 취약점이 있어 타사 RPC 응용 프로그램에 영향을 미칠 있습니다.

MS09-025    Windows 커널의 취약점으로 인한 권한 상승 문제점 (968537) △ ◐

     보안 업데이트는 권한 상승을 허용할 있는 Windows 커널의 공개된 취약점 2건과 비공개적으로 보고된 취약점 2건을 해결합니다. 취약점 악용에 성공한 공격자는 임의 코드를 실행하여 영향을 받는 시스템을 완전히 제어할 있습니다. 이렇게 되면 공격자가 프로그램을 설치할 있을 아니라 데이터를 보거나 변경하거나 삭제할 있고 모든 사용자 권한이 있는 계정을 만들 수도 있습니다. 취약점을 악용하려면 공격자가 유효한 로그온 자격 증명을 가지고 로컬로 로그온할 있어야 합니다. 익명의 사용자에 의해서나 원격으로는 취약점을 악용할 없습니다

MS09-020    IIS(인터넷 정보 서비스)의 취약점으로 인한 권한 상승 문제점 (970483) △ ◐
     보안 업데이트는 Microsoft IIS(인터넷 정보 서비스) 일반에 공개된 취약점 1건과 비공개적으로 보고된 취약점 1건을 해결합니다. 이러한 취약점이 있을 공격자가 인증을 요구하는 사이트에 특수하게 조작된 HTTP 요청을 보낸 경우 권한이 상승될 있습니다. 특수하게 조작된 HTTP 요청은 허용되는 인증을 지정하는 IIS 구성을 우회할 있지만 지정된 사용자가 파일에 액세스할 있는지 여부를 확인하는 파일 시스템 기반 ACL 검사는 우회할 없습니다. 취약점의 악용에 성공해도 공격자의 권한은 여전히 파일 시스템 ACL 수준의 익명 사용자 계정으로 제한됩니다.

MS09-023    Windows 검색의 취약점으로 인한 정보 유출 문제점 (963093)  ▽ ◐

   보안 업데이트는 비공개적으로 보고된 Windows 검색의 취약점을 해결합니다. 이러한 취약점으로 인해 사용자가 특수하게 조작된 파일을 첫 번째 결과로 반환하는 검색을 수행하거나 검색 결과에서 특수하게 조작된 파일을 미리 볼 경우 정보 유출이 발생할 수 있습니다. 기본적으로 Windows 검색 구성 요소는 Microsoft Windows XP 및 Windows Server 2003에 사전 설치되지 않으며 다운로드할 수 있는 선택적 구성 요소입니다.   Windows Vista,  Windows Server 2008 는 영향받지 않습니다.


Process Explorer로 바이러스 잡기

  백신이 모든 바이러스를 남김없이 잡아줄수 있다면 얼마나 좋을까요?

넘쳐나는 바이러스의 홍수에 거의 모든 백신사들이 진땀을 흘리고 있다고 할수있습니다.
백신이란 것이 정의된 바이러스외에는  잡지못하기 때문에  보안관리자들이 이런 신규 바이러스들에
대응할 수있는 응급조치법을 알고 있어야 합니다.
  매우 유용한 툴중 하나가 바로 지금 소개해드리는 Process Explorer입니다.
전에 ‘우키의 블로그’를 통해 포스팅했던 글을 참고하세요..  .

  오늘 백신을 설치하려는데 잘 안되고 에러가 나는 pc가 있었답니다.  백신이 설치되어있었지만
패턴업데이트가 되지않고 있던 것이었는데    아무래도 바이러스가 의심되어서 조사를 해보았습니다.
1. Process Explorer 실행
     작업관리자를 열어보면 엄청많은 프로세스들이 나옵니다. 도대체 뭐가 바이러스인지 구분이 불가능하죠 ^^
   특히 바이러스에 걸릴 경우 svchost.exe나 rundll32가  엄청 많이 떠 있는 경우를 자주 볼수있는데요…
   어떤 것이 시스템 서비스에 필요한 것이고 어떤 것이 바이러스인지 구분이 가지 않지요…
   그래서  우리는  조치를 하기 전에  각 프로세스들의 정체를 알필요가 있습니다.

   1) Process Explorer의 탭에 마우스를 위치시키고 우클릭하여 Select Columns를 선택해줍니다.
사용자 삽입 이미지
      2) 선택메뉴중에서 Command line를 선택해주고  확인을 클릭해주세요..
          그러면 각 프로세스의 실제적인 정체를 알수가 있습니다.    사용자 삽입 이미지

2. Process Explorer 로  바이러스 프로세스 종료시키기
    1) 이젠  보이지않던 각 프로세스의 세부 정체가 나타납니다.
        svchost.exe나 rundll32에 기생해서 활동하는 바이러스들의 실행위치와 파일명까지 나타납니다.
        이젠 바이러스가  만들어놓고 활동중인 프로세스를 식별하게 되었습니다.
사용자 삽입 이미지
    2) 바이러스가 사용중인 프로세스를 종료시킵니다.
        아래 그림에서 보는 것은 confiker변형바이러스의 특징인 수많은 바이러스작업스케쥴러들입니다.
        수많은 바이러스 프로세스중에 최상위 프로세스를 클릭하여 Kill Process Tree를 선택해줍니다.
              사용자 삽입 이미지
3. 바이러스 파일및 레지스트리 항목 제거
      2번 항목까지 하면  PC에 설치된 백신들이  바이러스를 자동으로 잡는 경우가 많습니다.
    1) 바이러스 파일을 찾아서 삭제합니다.
        프로세스가 종료되었으므로 바이러스 파일을 쉽게 삭제할 수있습니다.
 
    2) 시작프로그램에 삽입된 바이러스 레지스트리 항목 삭제합니다.
      
실행창에서 msconfig라고 입력하시면 자동 시작되는 바이러스 프로세스들을 삭제할수있습니다.
 
예전에 ‘우키의 블로그’에 포스팅했던  아래 글을 참고하세요

[Kisa제공] 개인정보보호 제3차 전문교육 실시

   한국정보보호진흥원에서  개설한  무료 정보보안 교육이 되겠습니다.  개인정보 취급자의 개인정보보호 관리 능력 제고 위한 전문교육 과정이라고 합니다.  ^^   개인정보 보호가  국가적으로 관심사가 되고 있는 현 상황에서  도움이 많이 될 듯합니다.  오늘부터 신청이 시작되었구요..  기수별로  교육가능한 인원이 많지는 않기 때문에 이번 차수에 교육을 받지 못하더라도     매월 개설되는 다음 강의를 수강할수있다고 합니다.    참고로 저번 교육은 40여명이  참석했다고 하는군요..   이번엔 90명 선착순이라고 합니다.  저도 오늘 신청했습니다. 

   이메일이나  팩스로 신청이 가능합니다. 아래쪽에 첨부된 파일을 참고하세요..  첨부된 PDF문서에는  행사전반에 관한 내역이 소개되어 있으며  워드나 아래한글 파일은  교육 신청양식입니다.  신청이 접수되어  교육인원으로 선정이 되면  문자나 이메일로  통지가 온다고 합니다.  저는 전화걸어서  직접 확인을 했죠.. ^^

▶ 교육개요
-개인정보보호 처리 원칙 및 준수사항 교육
-개인정보보호 책임자 및 취급자의 개인정보보호 관리 능력 제고

▶ 교육대상
-기업 내 개인정보(고객정보) 취급 책임자 또는 실무자

▶ 교육일시
-제3차 교육 일시 : 2009년 6월 25일 (목) 14:00 ~ 18:00 (총 4시간)

▶ 교육신청 기간 및 방법
-교육신청 기간 : 2009년 6월 8일(월) ~ 6월 16일(화) 18:00까지
-교육신청 방법 : 한국CPO포럼 사무국으로 이메일 또는 팩스 접수
-접수처 : info@cpoforum.or.kr, Fax : 02-516-1825(Tel : 02-516-1823)
※ 수강신청인원이 초과할 경우, 차기 교육 대상자로 선정될 수 있습니다.
※ 또한, 신청자가 수강인원을 초과할 경우, 기 교육 수강 업체의 중복 수강이 제한될 수
있습니다.
※ 최종 교육 대상자는 6월 19일(금) 15:00까지 이메일로 통보될 예정입니다.

▶ 교육 관련 문의처
-한국CPO포럼 사무국 : 02-516-1823~4, info@cpoforum.or.kr

▶ 교육내용
 1교시 : 개인정보 책임자와 취급자의 역할
 2교시 : 개인정보보호 관련 법률과 기술적 적용방안
           – 규제조항별 해결방안 (기술사례 교육)
           – 기업별 기술적 조치 Case Study
 3교시 : 개인정보의 Life Cycle과 단계별 준수사항
           – 개인정보의 수집
          – 개인정보의 이용및 제공
           – 개인정보의 파기
 4교시 : 개인정보 기술적, 관리적 보호조치
           – 관리적 접근통제
          – 기술적 접근통제
           – 접속기록 위변조 방지조치
          – 외부 해킹에 의한 기술적 방지조치
           – 암호화 조치
          – 개인정보 영향평가의 적용사례

▶ 향후 교육 일정
-7월, 8월, 9월, 10월, 11월 매월 1회 실시 예정
※ 교육 시작 2주전 교육 공고 및 참가신청 접수

1481933373.pdf1707228854.doc1531558116.hwp
▶ 교육장소
한국회계학원 9층 B강의실(교대역)
사용자 삽입 이미지

14회 정보보호 심포지움이 6월11일 개최 (무료)

좋은 무료보안 교육의 기회가 있어서 소개합니다.
KISA에서 메일로 소개자료가 와서 알게되었는데요…
보안업체들의 나와서  자신들의 제품소개를 하는 세미나와는 다른  유익한 교육의 장이 될듯합니다.

행사명:  제 14회 정보보호 심포지움
일시: 2009년 6월 11일 (목) 10:00-17:00 
장소: 롯데 호텔(잠실) 3층 크리스탈 볼룸

프로그램 다운로드 << 프로그램안내 (HWP) >>

행사안내및 참가신청 사이트:
     http://www.kisa.or.kr/sis2009/ 

사용자 삽입 이미지
등록접수기간: 5월 18일부터  6월 9일 (온라인 등록)  현장등록은 안된다고 합니다.
문의및 연락처:  SIS 2009 사무국 유지연대리 jamie@dreaminno.com  (02)405-5164

정부지원 DB관리 보안 무료교육 안내

   Database 관리및 보안에 도움이 될만한 무료 교육이 있네요..  단순 세미나가 아니고  꽤 많은 날수를 교육하는 것이므로 많은 도움이 될듯합니다.  교육은 Oracle중심으로 진행이 되어서 MS Sql 운영자에겐 도움이 안될수도 있겠습니다.  학생들이라면 추천할만 하지만요..  2주이상 교육을 받는 것이므로  업무와 약간 거리가 있는 내용을 장시간 교육받는 것이 어려울수도 있겠다 싶습니다.  하지만 여건이 된다면 받는 것이 좋겠죠?


 http://www.dbguide.net/educ/educ111003.jsp?mode=view&idx=193779

ㅁ 교육과정 및 지원대상
교육명
교육대상
교육기간
교육장소
대용량 DB 튜닝 컨설턴트 양성 과정 중소기업 중 IT기업 재직자 12일, 09:00 ~ 18:00
(2주, 격주 월 ~토)
서울 종로
(1호선 종각역)
데이터아키텍처 설계 전문가 과정 중소기업 중 IT기업 재직자 12일, 09:00 ~ 18:00
(2주, 격주 월 ~토)
DB 관리·보안 엔지니어 양성 과정 중소기업 중 IT기업 재직자 또는 프리랜서 40일, 09:00 ~ 18:00
(2개월, 토/일 제외)
※ 중소기업 중 IT기업 재직자라 함은 DB, SW, 컴퓨터 등의 문구가 사업자등록증의 업태 또는 업종에 명기된
    중소기업의 재직자를 말함.
ㅁ 주요 교육내용
교육명 주요 교육내용 훈련비용 회차 교육기간
대용량 DB 튜닝 컨설턴트
양성 과정 (Oracle 중심)
 – 대용량DB 성능 고도화 방법론
 – 대용량DB 인덱스 및 인덱스 비효율
   개선방법
 – 대용량DB 조인 및 조인 비효율 개선
   방법
 – 대용량DB 병렬처리/서브쿼리 및
   각각의 비효율 개선방법
121,500원 1 04.06 ~ 04.11
04.13 ~ 04.18
2 04.20 ~ 04.25
05.11 ~ 05.16
3 05.18 ~ 05.23
06.01 ~ 06.06
데이터아키텍처 설계
전문가 과정
 – 전사아키텍처 이해
 – 데이터 거버넌스 및 품질관리
 – 데이터 표준화 및 모델링
 – 데이터베이스 설계와 이용
130,150원 1 04.06 ~04.11
04.13 ~ 04.18
2 04.20 ~ 04.25
05.11 ~ 05.16
3 05.18 ~ 05.23
06.01 ~ 06.06
DB 관리·보안 엔지니어
양성 과정 (Oracle중심)
 – 데이터베이스 관리 및 보안 방법론
 – 데이터베이스 장애 및 복구 실무
 – SQL 및 DBMS 성능개선
 – 데이터베이스 설계
 – 데이터베이스 프로그래밍
 – 데이터베이스기반 응용프로그램
   개발
 – 데이터베이스 보안 및 네트워크
   솔루션 활용 실무
294,200원 1 06.08 ~ 07.31
2 08.17 ~ 10.14
 

※ 각 교육의 회차별 교육내용은 동일함.

※ 접수는 양식 다운로드 후 팩스접수만 가능함.
※ DB 관리·보안 엔지니어 양성 과정 수강자는 교육 수료 시 직무능력 향상 지원금 지급.

ㅁ 제출서류 및 제출방법
 1. 제출서류
     1) 교육 참여 신청서(
다운로드)
       ※ 신청서의 내용 중 붉은색 부분만 수정 입력
       ※ 교육명과 교육기간 항목은 반드시 상기 주요 교육내용의 교육명 및 교육기간의 내용을 선택하여 기술
       ※ 신청서 2페이지의 직인은 회사 직인 또는 대표자 직인 중 택일가능함.
      2) 사업자등록증 사본
      3) 교육 참여자 사진 파일(파일 포맷 JPEG)
 2. 제출방법
       1) 상기 제출서류 중 신청서, 사업자등록증 사본 등은 팩스로 송부(팩스번호: 02-318-5040)
       2) 상기 제출서류중 교육 참여자 사진 파일은 이메일로 송부(이메일: swg@dpc.or.kr)
 3. 제출시기 : 교육전까지 선착순 접수!!
 4. 우대사항 : 동일 기업에서 다수인원 교육 신청 시 우선적으로 교육우선권 부여
ㅁ 문의처

1. 담당자 : 손원길 연구원
2. 전 화 : 02-3708-5375, 5377

DDoS 공격의 위험성과 대응방안

원문참조: http://www.boannews.com/plan/plan_view.asp?idx=16129
이 글은 보안뉴스에 게재된  기사를 정리한 것임을 밝힙니다.

  ▶ 왜   2009년  주목할 만한 보안 위협이   DDoS 공격인가?
  올해 가장 큰 보안 위협으로 많은 보안 전문가들이 DDoS(분산서비스 거부: Distributed Denial of Service) 공격을 꼽고 있다. 특히 온라인 비즈니스 전문기업들은 막강한 DDoS 공격을 막아내지 못하면 사업 자체가 무너질 수 있어 이에 대한 철저한 대비가 있어야 한다고 전문가들은 경고하고 있다. 
 
  DDoS 공격은 이제 기업의 이윤과 관계되는 모든 IT 인프라를 대상으로 확대되고 있고 특히 기업이윤 창출의 원천인 서비스 자체를 공격하고 있다. 이 때문에 서비스에 직접적인 영향을 끼치고 있음에도 불구하고 기존의 보안 솔루션이나 체계로는 방어하기가 어렵고 동시에 ‘이용자 보호’, ‘지속 가능한 경영’ 자체를 위협하며 금전을 요구하는 협박의 형태로 점점 더 많은 기업에 위해를 가하고 있어 커다란 사회적 문제로 대두되고 있다. 특히 전문가들은 올해 가장 큰 보안 위협으로 DDoS 공격을 꼽았으며 세계 경제의 위기가 더욱 심화되는 가운데 금품을 노린 DDoS 공격이 더욱 증가할 것으로 전망되고 있다. 이에 각 기업과 공공기관의 보안 담당자들은 DDoS 공격을 방어하는 것에 사활을 걸고 있다

   이러한 가운데 최근 들어 DDoS 공격에 대한 암흑의 비즈니스 현장이 공개되기도 했다. 한 보안업체의 대표는 DDoS가 기승을 부림에 따라 DDoS IP와 해킹 경로를 추적하던 중, 돈을 받고 DDoS 공격을 대행해주는 업자의 메신저 주소를 알아내 이를 통해 정보를 얻을 수 있었던 것.   이에 따르면 이들 DDoS 공격자들은 전문적인 기술이 있는 것이 아니라 중국산 DDoS 프로그램과 DDoS 악성 코드에 감염된 PC IP 리스트를 구매해서 공격에 활용하는 것으로 알려졌다. 특히 2~3종의 중국 DDoS 툴이 빈번하게 사용되며 DDoS 공격에 이용되는 봇 PC IP 리스트는 수만 건 당 수백만 원에 거래되는 것으로 확인됐다.
 
  특히 5~10만개의 공격 IP를 보유한 공격 툴의 경우 500~1000만원 정도의 금액으로 중국에서 구매할 수 있으며 이런 IP는 매일 새로 업데이트 되고 업데이트 정보도 판매될 만큼 조직적인 것으로 밝혀졌다. 이렇게 해서 DDoS 공격자들은 1일에 1백만원 내외의 돈을 받고 1Gbps에서 10Gbps 급의 공격을 하루에 3~5개의 사이트를 대상으로 하고 있는 것으로 알려졌다. 이러한 상황이기 때문에 현재 대형 커뮤니티 사이트나 온라인 게임업체, 금융권 등의 기업에서는 중국 DDoS 공격 툴을 비롯, 다양한 DDoS공격에 적합한 Anti DDoS 전용 장비의 도입·설치나 서비스의 이용이 시급하다.
하지만 이러한 것만으로는 다양한 DDoS 공격을 방어하기에 한계가 있다. 즉 이 외에도 여러 가지 복합적인 보안 시스템과 정책이 필요하다고 전문가들은 말한다

  금품 노린 DDoS 공격 증가 
   2009년 1월 한국정보보호진흥원(이하 KISA)은 ‘2009년 침해사고 전망’ 자료를 통해 글로벌 경제위기와 더불어 2009년에도 금품 갈취성 DDoS 공격은 더욱 증가할 것으로 예상된다고 전망하기도 했다.

   Kisa에서 분석한 2008년 DDoS공격의 특징
1. 금품갈취성 DDoS 지속 발생
2. 조직화된 사이버 범죄로 발전
3. 자동화된 공격 도구 성행
4. 협박 및 공격수법 지능화

  Kisa에서 예상한 2008년 DDoS공격의 경향
1. 금품갈취성 DDoS 지속증가
2. 사회갈등 표출형 DDoS 발생증가
3. DDoS 공격용 악성코드 유포기법 지능화
  금전을 노린 관련범죄의 가능성에 대해서는 인터폴과의 공조를 통한 범인검거 등 수사기관의 대응도 점차 강화될 것으로 내다봤다.  사회갈등 표출형 DDoS 발생증가에 대해서 특정인이나 특정집단에 의한 사회갈등 표출형 DDoS공격이 증가할 것으로 전망했다.  DDoS 공격용 악성코드 유포기법에 있어서는  대량 악성코드 유포 공격자들의 수법이 한 층 지능화될 것으로 보인다.  

   올해도 이런 양상은 더욱 가속화되어 보안장비 우회, 사회공학적 기법 등 보다 다양한 공격기법이 결합해 DDoS공격용 악성코드가 유포될 것으로 예측했다.

   DDoS 방어를 위해 무엇을 할 것인가? (by KISA의 한 관계자)  
“아무리 성능이 뛰어난 보안장비라고 해도 유입되는 공격 트래픽의 규모가 회선 대역폭을 초과한다면 보안장비로 DDoS 공격을 방어하는 것은 한계가 있다.
1. DDoS공격을 예방하는 가장 좋은 방법은 공격근원지 발생을 억제하는 것
2. 국내 인터넷이용자들이 자신의 컴퓨터를 항상 최신 업데이트 상태로 유지하고 백신 사용을 생활화
3. 인터넷서비스를 제공하는 ISP/IDC 사업자는 유관기관과 공조하여 DDoS 공격 조종지를 탐지
4. 침해사고에 악용되는 악성도메인을 사전에 선제적으로 차단
5. 네트워크의 안정성 강화 및 고객의 피해를 예방하기 위해 DDoS 탐지 및 차단시스템 등에 적극 투자

아이템베이 DDoS 공격 범인 중국공안에 검거

원문참조:   http://www.boannews.com/media/view.asp?idx=16400&kind=1
원문참조:   http://www.boannews.com/media/view.asp?idx=16427&kind=1

악의적인 분산서비스(DDos)공격을 해온 범인이  5월27일 중국공안에 검거되었습니다.

형량: 중국공안의 조사와 재판을 거쳐서  최고 10년이하의 징역에 처해질 것으로 예상됩니다 . 현재 중국에서도 DDos  공격은 매우 심각한 범죄로 인식되고 있는 상황이라고 합니다.

범인:  범인은 조선족일 것이라는 세간의 예상과 달리 전북 전주 출신의 30대 한국인 남성으로 밝혀졌습니다.

피해사이트: 아이템 베이  http://www.itembay.com/
    아이템 베이는 2001년 세계최초로 게임아이템 거래중개 서비스를 시작한 회사이며   연평균 성장률 21.4 %을 유지해 온 회사입니다.
     
DDos공격으로 인한 아이템베이의 피해 상황      
    2007년 9월 첫 DDos 공격이후 4개월동안 홈페이지를 열지못하고 IDC센타에서 퇴출되는 등   정상영업을 하지 못하였습니다.   서비스 정상화 이후 매출회복과 시장점유율 55% 확보를 이루어냈으나  다시 DDos공격으로 인해  2008년 12월15일부터 4일간 영업이 중단된바 있습니다.

12월19일자 기사: http://stock.mt.co.kr/view/mtview.php?no=2007121915472266885&type=1

    아이템베이는 홈페이지를 이용한  아이템거래 중계가 수익원이기때문에 홈페이지의 다운이 그대로 매출손실로 이어지게 되어  심각한 매출상의 손실을 보게 되었습니다. (약 1,279억 추정)
       
    아이템베이의 한 관계자는 아래와 같이 회사의 손실에 대해 설명한바 있습니다.
   “영업불가로 인해 심각한 매출손실을 입었을 뿐만 아니라 기업 이미지 훼손과 회원이탈, 해당 문제 해결 및 원상복구에 소요된 각종 비용과 시간을 생각하면  당사가 입은 손실은 치명적이다.   DDoS 공격을 방어하기 위해 서버를 이전하고 회선을 증가시키는 등의 과정에서 큰 비용이 발생했고,  회사 이미지 회복을 위한 마케팅 비용이 지속적으로 발생하고 있다. 매출손실과 복구를 위해 소요된  비용전체를 계산하면 실질적인 당사의 DDoS 피해금액은 약 1,400억 원에 달할 것으로 추산된다”

DDos공격자인 김모씨를 체포하기 까지
    김모씨는 3년에 걸쳐서 DDos공격을 가했으며  검거직전까지 6억원상당의 금품을 요구하는 총 54통의협박메일을 발송한 바 있습니다.   범인은 한국인임에도 불구하고 리철이라는 이름의 조선족 행세를 하였습니다.   총 54회에 걸쳐 보낸 협박메일에는  ‘아이템베이 사이트에  DDoS 공격이 예정되어 있으며, 요구금액을 지급하면 공격을 철회하겠다’는 내용이 포함되어 있었습니다.  범인은 공격철회 조건으로 300만 위엔(약 6억)을 요구해왔으며, 타 집단의 DDoS 공격을 막아주는 대가로  반기별 50만 위엔(약 1억원)을 요구하기도 했다고 합니다.
 
  피의자 김모씨의  아이템 베이 DDos 공격협박 메일  << 메일내용 이미지 보기 >>
 2008.12.02  “아이템베이 사이트에 진공(DDos공격)이 예정되어 있다.
 2008.12.13  “협상을 원하면 중국원화 300만원을 지급하라”
 2008.12.15  “DDos 공격을 멈췄다.  중국원화 80만원 지급하라”
 2008.12.28  “새해에 DDos 공격당하면 머리아프지않냐? 중개사이트는 신용이 목숨인데 돈 아끼지말라”  

   아이템 베이는 2008년 12월 범인으로부터 협박메일을 받은 즉시 관할 경찰서인 양천경찰서에 수사를 의뢰했으며   DDos 공격의 출처가 대부분 중국인 점을 포착, 중국 공안과  현지 전문가들의 협조를 받아서   5월27일에 범인이 중국공안으로 송치되기에 이르렀습니다.  중국공안에서도 이번 사건의 수사에 적극 협조하였으며  범인을 엄중처벌할 방침이라고 합니다.

 아이템베이는 이러한 막대한 규모의 손실에 대해 범인에게 손해배상을 청구할 방침이며, 양천경찰서와의 공조 하에  공범의 존재여부 및 신상 확보를 위해 더욱 치밀한 추가 수사진행을 요청한 상태라고 합니다.
     
       1.  100G 이상의 대규모 좀비 PC를 동원하기  위해 만만치 않은 비용이 소요되었다는 점
       2.  타 업체에는 DDoS 공격을 가하거나 협박메일을 보낸 적이 없고 아이템베이만을 대상으로 삼았다는 점
   
  위 두가지 근거를 볼때  공격의 사주범 또는 공범의 존재가능성도 있는것으로 보여지고 있다고 합니다.

 아이템베이에 대한  DDos 공격의 범인이 구속된 의의
     아이템베이의 사례는 공격자들에 대한 국적을 떠난 광범위한 수사가 집요하게 진행되기 때문에 언젠가는 잡힌다는 사례를 만들어 공격자들에 대한 공격을 위축시킬 수 있을 것으로 보고 있습니다. 다만 문제는 아직까지 공격을 받고도 이를 쉬쉬하며 요구에 응하는 인터넷업체들이 적지 않다는 것입니다.  이에 따라 전문가들은 공격을 받으면 수사기관에 신고하는 것을 주저하지 말아야한다고 이야기합니다.

DDos 공격에 대한 대응은 ?
   DDoS 공격을 빌미로 돈을 요구하는 협박자들은 요구에 응하면 당장 공격은 멈추지만 또다시 협박해 돈을 주기적으로 요구하는 것으로 알려지고 있습니다.   전문가들은 협박에 응하지 말고 ISP나 IDC를 비롯해 KISA 등 관련기관에 협조요청하고 대응방법을 신속하게 찾길 조언하고 있습니다.  &nb
sp;보통 공격자들은 테스트 성 공격을 진행한 후 DDoS 공격에 취약하다고 판단되면 협박과 동시에 본격적인 공격을 진행하는 특징을 가지고 있다고 합니다. 이에 따라 초기 DDoS 대응 준비를 갖춰놓는 다면  본격적인 DDoS 공격을 피할 수 있습니다.

   신대규 KISA 상황관제팀장은 “작년까지만 해도 DDoS에 대한 해결책은 없었다고 해도 과언이 아니었지만 최근 들어 DDoS에 대응할 수 있는 준비가 작년보다 많이 이뤄졌다”며 “신속한 대응이 필요하다”고  말한바 있습니다.

   이는 작년까지 DDoS 대응에 우왕좌왕했던 IT업계가 여러 공격 경험을 통해 공격 방어에 대한 여러 해결방안을 모색했다는 것으로     특히 ISP(인터넷 서비스 제공사)부터 IDC(인터넷 데이터센터), 호스팅업계 그리고 최종 사용자까지 단계별로 DDoS 대응 방안이 제시되고 있는 상태라고 합니다.  ISP의 경우, KISA 시범사업으로 아웃바운드 DDoS 대응 체계를 구축하고 있다고 합니다.   현재 3개의 ISP에 DDoS 장비가 설치돼 운영되고 있으며 4개 ISP에 대한 DDoS 장비 설치가 진행 중입니다.